Ein wesentlicher Grund für die Veröffentlichung der neuen TYPO3 6.2.27 LTS, 7.6.11 LTS und 8.3.1 Sicherheitsupdate(s) am 12.09.2016 ist eine als niedrig eingestufte Sicherheitslücke. Diese Sicherheitslücke wird auch mit einem Versionsupdate auf eine aktuelle TYPO3 Version noch nicht geschlossen! Damit diese dennoch geschlossen werden kann, ist einiges zu beachten.
Um die Sicherheitslücke, die ein sog. Cache Flooting verursachen kann, zu schließen, ist es notwendig, die Option cHashIncludePageId in der zentralen Konfigurationsdatei (mit $GLOBALS[‚TYPO3_CONF_VARS‘][‚FE‘][‚cHashIncludePageId‘] to) explizit zu aktivieren und die Caches neu zu generieren. Dieser Vorgang kann bei der Nutzung bestimmter TYPO3-Erweiterungen – wie realurl – jedoch dazu führen, dass die entsprechende Webseite nicht mehr erreichbar ist oder durch Google indizierte URLs nicht mehr korrekt von Google ausgelesen werden können. Dadurch können Unterseiten eines Projekts aus dem Google-Index entfernt werden.
Da uns die Erreichbarkeit der Webseiten unserer Kunden am Herzen liegt, haben wir uns dazu entschlossen, die oben beschriebene Option für Live-Projekte vorerst nicht zu aktivieren. Für Websites die sich bei uns in der Entwicklung befinden wird diese Funktion natürlich aktiviert und der Cache entsprechend geflusht.
Wir gehen davon aus, dass diese Option in den kommenden Versionen automatisch aktiviert wird und werden unsere Kunden dazu in den nächsten Tagen kontaktieren.